Melindungi lingkungan cloud memerlukan perlindungan akun Identity and Access Management dari penyerbuan. Dengan membahayakan akun pengguna dengan hak istimewa, penyerang dapat membuat perubahan pada lingkungan cloud, sehingga mendeteksi potensi kompromi sangat penting untuk mengamankan organisasi dari berbagai ukuran. Untuk membantu organisasi tetap aman,Google Cloud mencatat tindakan sensitif yang dilakukan oleh akun pengguna IAM dan memberi tahu administrator organisasi tentang tindakan tersebut secara langsung melalui Notifikasi Penasihat.
Tindakan sensitif adalah tindakan yang dapat berdampak negatif secara signifikan pada organisasi Google Cloud Anda jika dilakukan oleh pelaku kejahatan menggunakan akun yang disusupi. Tindakan ini sendiri tidak selalu mewakili ancaman bagi organisasi Anda atau menunjukkan bahwa akun telah dibobol. Namun, sebaiknya Anda mengonfirmasi bahwa tindakan tersebut dilakukan oleh pengguna Anda dengan tujuan yang sah.
Siapa yang menerima notifikasi Tindakan Sensitif
Google Cloud memberi tahu organisasi Anda tentang tindakan sensitif dengan mengirimkan notifikasi email ke kontak penting tingkat organisasi Anda untuk keamanan. Jika tidak ada kontak penting yang dikonfigurasi, notifikasi email akan dikirim ke semua akun yang memiliki peran IAM Admin Organisasi di tingkat organisasi.
Memilih tidak ikut
Jika tidak ingin menerima notifikasi Tindakan Sensitif di organisasi, Anda dapat memilih untuk tidak menerima notifikasi ini. Untuk informasi selengkapnya, lihat Mengonfigurasi notifikasi. Memilih untuk tidak menerima notifikasi Tindakan Sensitif hanya memengaruhi notifikasi yang dikirim melalui Pemberitahuan Insiden. Log Tindakan Sensitif selalu dibuat dan tidak terpengaruh oleh pilihan untuk tidak menerima notifikasi. Jika Anda menggunakan Security Command Center, Sensitive Actions Service tidak akan terpengaruh oleh keputusan untuk tidak menerima notifikasi Tindakan Sensitif.
Cara kerja Tindakan Sensitif
Google Cloud mendeteksi tindakan sensitif dengan memantau Log Audit Aktivitas Admin organisasi Anda. Saat tindakan sensitif terdeteksi, Google Cloud akan menulis tindakan tersebut di log platform Layanan Tindakan Sensitif di resource yang sama dengan tempat aktivitas terjadi. Google Cloud juga menyertakan peristiwa dalam notifikasi yang dikirim melalui Notifikasi Peringatan.
Frekuensi notifikasi
Saat pertama kali tindakan sensitif diamati di organisasi Anda, Anda akan menerima laporan yang menyertakan tindakan awal, serta tindakan lain yang terjadi dalam jam berikutnya. Setelah laporan awal, Anda akan menerima laporan untuk tindakan sensitif baru di organisasi Anda paling banyak sekali setiap 30 hari. Jika tidak ada tindakan sensitif di organisasi Anda dalam waktu yang lama, Anda mungkin menerima laporan satu jam saat tindakan sensitif diamati lagi.
Jika Tindakan Sensitif tidak dihasilkan
Google Cloud melaporkan tindakan sensitif hanya jika akun utama yang melakukan tindakan tersebut adalah akun pengguna. Tindakan yang dilakukan oleh akun layanan tidak dilaporkan. Google mengembangkan kemampuan ini untuk melindungi dari penyerang yang mendapatkan akses ke kredensial pengguna akhir dan menggunakannya untuk melakukan tindakan yang tidak diinginkan di lingkungan cloud. Karena banyak tindakan ini adalah perilaku umum untuk akun layanan, log dan notifikasi saran tidak dibuat untuk identitas ini.
Tindakan sensitif tidak dapat dideteksi jika Anda telah mengonfigurasi Log Audit Aktivitas Admin untuk berada di wilayah tertentu (yaitu, bukan wilayah global). Misalnya, jika Anda telah
menentukan region penyimpanan
untuk bucket log _Required di resource tertentu, log dari resource tersebut
tidak dapat dipindai untuk tindakan sensitif.
Jika Anda telah mengonfigurasi Log Audit Aktivitas Admin untuk dienkripsi dengan kunci enkripsi yang dikelola pelanggan, log Anda tidak dapat dipindai untuk menemukan tindakan sensitif.
Tindakan Sensitif di Security Command Center
Jika menggunakan Security Command Center, Anda dapat menerima Tindakan Sensitif sebagai temuan melalui Sensitive Actions Service.
Meskipun log Tindakan Sensitif dan Notifikasi Penasihat memberikan satu lensa tentang perilaku akun di organisasi Anda, Security Command Center memberikan insight dan kemampuan pengelolaan tambahan bagi tim keamanan yang melindungi beban kerja dan lingkungan yang lebih kompleks, besar, atau penting. Sebaiknya monitor Tindakan Sensitif sebagai bagian dari strategi pemantauan keamanan Anda secara keseluruhan.
Untuk informasi selengkapnya tentang Security Command Center, lihat referensi berikut:
Harga
Notifikasi untuk Tindakan Sensitif dalam Notifikasi Penasihat disediakan tanpa biaya tambahan. Log Tindakan Sensitif di Cloud Logging akan menimbulkan biaya transfer dan penyimpanan sesuai dengan harga Logging. Volume entri log Tindakan Sensitif bergantung pada seberapa sering akun pengguna di organisasi Anda melakukan tindakan sensitif. Tindakan ini biasanya tidak umum.
Jenis Tindakan Sensitif
Google Cloud memberi tahu Anda tentang jenis tindakan sensitif berikut.
Sensitive Roles Added
Akun utama dengan peran IAM Pemilik (roles/owner) atau Editor (roles/editor) diberikan di tingkat organisasi. Peran ini
memungkinkan sejumlah besar tindakan di seluruh organisasi Anda.
Billing Admin Removed
Peran IAM Billing Account Administrator (roles/billing.admin)
dihapus di tingkat organisasi. Menghapus peran ini dapat mencegah pengguna
memiliki visibilitas dan memberikan mekanisme bagi penyerang agar tetap tidak terdeteksi.
Organization Policy Changed
Kebijakan organisasi dibuat, diperbarui, atau dihapus di tingkat organisasi. Kebijakan organisasi di tingkat ini dapat memengaruhi keamanan semua resource Google Cloud organisasi Anda.
Project-level SSH Key Added
Kunci SSH tingkat project ditambahkan ke Google Cloud project yang sebelumnya tidak memiliki kunci tersebut. Kunci SSH tingkat project dapat memberikan akses ke semua virtual machine (VM) dalam project.
GPU Instance Created
VM dengan GPU dibuat dalam project oleh seseorang yang belum membuat instance GPU dalam project tersebut baru-baru ini. Instance Compute Engine dengan GPU dapat menghosting beban kerja seperti penambangan mata uang kripto.
Many Instances Created
Beberapa instance VM dibuat oleh pengguna dalam project tertentu. Instance VM dalam jumlah besar dapat digunakan untuk beban kerja yang tidak terduga seperti penambangan cryptocurrency atau serangan denial-of-service.
Many Instances Deleted
Beberapa instance VM dihapus oleh pengguna dalam project tertentu. Penghapusan instance dalam jumlah besar dapat mengganggu bisnis Anda.
Langkah berikutnya
- Pelajari cara melihat notifikasi.
- Pelajari cara merespons notifikasi Tindakan Sensitif.
- Pelajari cara memilih ikut serta atau tidak ikut notifikasi.